Written by 前田 誉彦
2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。
はじめに
SalesforceはSpring, Summer, Winterと、年に3回アップデートがリリースされます。
クラウドサービスのアップデートの際には、内容をしっかりと理解して運用を行わないと、意図せず脆弱な設定となり、セキュリティリスクを増大させてしまいます。実際にアップデートをきっかけにセキュリティ事故が発生したケースが多数存在しています。
本コラムでは、 クラウドセキュリティの診断を提供しているセキュリティエキスパートチームが、Salesforce Summer ’23にて、高リスクと評価した項目や、確認するべきと判断して、実際の診断項目に追加した内容をご紹介します。
本稿が皆さまのセキュリティ事故防止に、少しでもお役に立てれば幸いです。
Salesforceのアップデートで確認すべき情報はこれ!
Salesforceのアップデート内容や、セキュリティの観点から確認するべき主なドキュメント類は以下のものです。
◆[JP] 解説「ケ?ストユーサ?フ?ロファイルを設定するときのヘ?ストフ?ラクティスと考慮事項」.pdf
◆Salesforce セキュリティ状態チェック カスタムベースラインファイルの要件
※上記ドキュメントはリリース時に一斉に配信されるものではありません。
※セキュリティガイドなどは、概ねリリース後数週間経って配信されます。
今回は、「リリースノート Summer ’23」と「セキュリティガイド Summer ’23」から、弊社のSalesforceセキュリティ診断の項目として検討した以下の点についてご紹介します。
■リリースノート Summer ’23より
リリースノートの内容から、今回着目した重要設定項目は、以下の2点です。
- 「OAuthユーザー名とパスワードフロー」の設定
- 「OAuthユーザーエージェントフロー」の設定
これらは、Salesforceクライアントアプリケーションや、Salesforceモバイルアプリケーションを使ってSalesforceのデータにアクセスする際などに使われるOAuth認証フローの種類です。
■セキュリティガイド Summer ’23 より
トランザクションセキュリティポリシーのFileEventポリシーがSummer ’23より実装されました。
それでは、次項から具体的に解説していきます。
①OAuthユーザー名とパスワードフロー
OAuthユーザー名とパスワードフローは、SalesforceクライアントアプリケーションとSalesforceとの通信時、ユーザー名やパスワードなどのログイン情報のやり取りが発生します。リリースノート Summer ’23のドキュメントにも、「このフローはログイン情報をやり取りするため、使用を避けることをお勧めします。」とあります。OAuthユーザー名とパスワードフローを利用して通信を行った場合、リダイレクトの際などにURLにクライアントIDなどの機密情報が入ってしまい、中間者攻撃を受けやすくなるため、この度の更新で非推奨の設定となりました。
ユーザー名とパスワードフローを利用可能とする設定は、 Summer ’23以降に発行されるSalesforceの新規テナント(新規組織ID)では、デフォルトで無効化された状態となります。
②OAuthユーザーエージェントフロー
①と似た設定として、OAuth ユーザーエージェントフローという設定があります。こちらも同じようにリダイレクトの際などに機密情報であるアクセストークンがURL内に入ってしまい、隠すことができないため、非推奨ということが記載されています。
①のOAuthユーザー名とパスワードフロー、および②のOAuthユーザーエージェントフローの設定箇所は、以下となります。
◆UIがLightning Experienceの場合
設定箇所は、「ID」→「OAuth および OpenID Connect 設定」の「OAuth ユーザー名パスワードフローを許可」がオフになっていることを確認
◆UIがSalesforce Classicの場合
設定箇所は、「管理」→「セキュリティのコントロール」→「OAuth および OpenID Connect 設定」→「OAuth ユーザー名パスワードフローを許可」がオフになっていることを確認
それぞれの設定をオフにすると、これらの通信フローの設定を使う事はできなくなるため、代替手段としては、「OpenID Connect 動的クライアント登録」や、コード交換の証明鍵を使用する「OAuth2.0 Webサーバフロー」の使用が推奨されています。
③FileEventポリシー
トランザクションセキュリティポリシーのFileEventポリシーがSummer ’23より実装されました。
この機能を利用すると、ユーザーが特定のファイルをプレビューしようとした際に管理者へ通知したり、特定のユーザーID・バージョンID・ドキュメントIDによるダウンロードをブロックすることができます。
ファイルの操作をリアルタイムにモニタリングできるため、インシデントの発生をファイルの操作をリアルタイムにモニタリングできるため、インシデントの発生を早期に検知して、対処することが可能となります。
FileEventポリシーについては下記を参照してください。
https://developer.salesforce.com/docs/atlas.ja-jp.securityImplGuide.meta/securityImplGuide/enhanced_transaction_security_policy_types_fileevent.htm
FileEventポリシーの設定箇所は以下となり、様々なポリシーを作成できます。
◆UIがLightning Experienceの場合
設定箇所は、「セキュリティ」→「イベントモニタリング」→「トランザクションセキュリティポリシー」→「イベント(リソース)」の「ファイルイベントイストア」
◆UIがSalesforce Classicの場合
設定箇所は、「管理」→「セキュリティのコントロール」→「イベントモニタリング」→「トランザクションセキュリティポリシー」の「イベント(リソース)」の「ファイルイベントイストア」
まとめ
本コラムでは、Salesforce Summer ’23にて、セキュリティの観点から以下の3点をピックアップしてご説明しました。
①OAuthユーザー名とパスワードフロー
②OAuthユーザーエージェントフロー
③FileEventポリシー
このように、クラウドサービスのアップデートがあった際は、今まで利用してきた機能が非推奨になったり、新しい機能がリリースされたりすることがあります。それぞれの設定箇所について、自分たちの組織では、どう設定してどう運用していくのか、現在の運用の状態なども考慮して、最適な設定を行っていくことが必要です。
Salesforceは柔軟かつ多様な使い方ができる反面、設定が必要な箇所は多岐にわたり、複雑です。本記事が皆さまのお役に立てれば幸いです。
エムオーテックスでは、これらの設定も含めて、セキュリティに関わる管理設定など、可能な限り最新の情報で、全般的に確認できる「クラウドセキュリティ診断」を提供しています。
アップデートのタイミングなどで、一度現状を確認してみてはいかがでしょうか。興味ある方はお気軽にご相談、または期間限定の無料設定相談会にお申し込みください。
※上記に掲載しているURLの内容は、サービス提供事業者にて予告なく変更になる場合があります。
本書に記載されている機能および特徴の詳細につきましては、サービス提供事業者の最新ドキュメントをご確認ください。
